Datenschutz-Grundverordnung. einige Grundlagen. Wenn die DSGVO am 25. Mai 2018 in Kraft tritt, gibt es keine Umstellungsfristen *

Transkript

1 Anwaltspraxis Datenschutz-Grundverordnung (DSGVO) einige Grundlagen Wenn die DSGVO am 25. Mai 2018 in Kraft tritt, gibt es keine Umstellungsfristen * Rechtsanwalt Prof. Niko Härting, Berlin Für die anwaltliche Beratungspraxis spielt die Datenschutz- Grundverordnung eine große Rolle: Die Unternehmen müssen sich bis zum Inkrafttreten am 25. Mai 2018 auf das neue Datenschutzregime vorbereiten. Erstmals wird das Datenschutzrecht in Europa durch eine unmittelbar wirksame Verordnung geregelt. Was Anwältinnen und Anwälte jetzt wissen sollten, erläutert der Autor. Die neue europäische Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Es kommt zu einigen Änderungen beim sachlichen und räumlichen Anwendungsbereich des europäischen Datenschutzrechts und zu beträchtlichen Einschränkungen bei der Wirksamkeit von Einwilligungen. Unternehmen werden sich in Zukunft nur noch selten auf Einwilligungen verlassen können und sich stattdessen bemühen, die Verarbeitung personenbezogener Daten auf den Erlaubnistatbestand berechtigte Interessen zu stützen. Dieser Tatbestand ist der Einwilligung in jeder Hinsicht gleichwertig. Beispiele und Regelbeispiele, die sich in den Erwägungsgründen der DSGVO finden, belegen deutlich, dass die Anforderungen an ein berechtigtes Interesse nicht allzu hoch sind. Gespannt darf man darüber hinaus sein, wie sich die Übernahme des US-amerikanischen Maßstabs berechtigter Erwartungen in das neue europäische Recht auf die weitere Entwicklung des Datenschutzes in Europa auswirken wird. I. Sachlicher Anwendungsbereich Das neue Datenschutzrecht gilt wie bisher nur für personenbezogene Daten. Dieser Begriff bleibt allerdings unscharf. 1. Personenbezogene Daten Gemäß 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Die Auslegung dieser Definition ist streitig. Datenschutzbehörden befürworten eine weite Auslegung. Danach sind alle Daten personenbezogen, bei denen nicht auszuschließen ist, dass sie mit einer natürlichen Person in Verbindung gebracht werden können ( absoluter Personenbezug ) eine Art Negativbeweis, der sich in aller Regel nicht führen lässt. Nach anderer Auffassung ist ein Personenbezug nur dann gegeben, wenn sich ein Bezug zu einer natürlichen Person für den Datenverarbeiter ohne unverhältnismäßigen Aufwand herstellen lässt ( relativer Personenbezug ). 1 Die DSGVO vermeidet eine klare Festlegung zur Relativität oder Absolutheit des Personenbezugs. Die Begriffsbestimmung wird über drei verschiedene Vorschriften verteilt. Eine dieser Vorschriften lässt ein relatives Verständnis des Personenbezugs zu, während die beiden anderen Vorschriften klar von einem absoluten Verständnis geprägt sind 2. Art. 4 Abs. 1 DSGVO geht von einem sehr weiten, absoluten Begriff der personenbezogenen Daten aus: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person ) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Nach dieser Definition reicht jede Kennung für den Personenbezug aus. Autokennzeichen, Steuernummern, Cookies und IP-Adresse lassen sich zwanglos unter Art. 4 Abs. 1 DSGVO subsumieren, da jede beliebige Nummer, die einer Person direkt oder indirekt zugeordnet ist, die Person identifiziert. Auch Erwägungsgrund 30 DSGVO lässt sich entnehmen, dass jede Kennung Personenbezug haben soll mit der Folge, dass die DSGVO in sehr weitem Umfang anwendbar ist: Natürlichen Personen werden unter Umständen Online- Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren. Anders als Art. 4 Abs. 1 DSGVO und Erwägungsgrund 30 DSGVO stellt Erwägungsgrund 26 Satz 3 und 4 DSGVO auf den Aufwand ab, der mit einer Identifizierung verbunden ist und kommt somit einer relativen Lesart des Personenbezugs gleich: Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. * Der Beitrag ist zur Pflichtfortbildung für den Fachanwalt für Informationsrecht im Selbststudium mit Erfolgskontrolle auf der Grundlage des seit 1. Januar 2015 geltenden 15 FAO geeignet. DAV-Mitglieder können die Multiple-Choice-Fragen online unter campus.de bis 31. Dezember 2017 beantworten. Bei Erfolg erhalten sie für diesen Beitrag eine Fortbildungsbescheinigung im Äquivalent von 60 Minuten. Nähere Einzelheiten dazu bei Wendt, AnwBl 2015, 78 (Januar-Heft). Der DAV kann nicht garantieren, dass alle 27 regionalen Rechtsanwaltskammern diese Fortbildungsbescheinigung anerkennen, wird DAV-Mitglieder aber bei der Anerkennung so weit wie möglich unterstützen 1 Vgl. Härting, Internetrecht, 5. Aufl. 2014, Rdnr. 187 ff. 2 Vgl. Schantz, NJW 2016, 1841, AnwBl 11 / 2016 Datenschutz-Grundverordnung (DSGVO) einige Grundlagen, Härting

2 Die widersprüchlichen Signale, die die DSGVO zum Personenbezug setzt, lassen befürchten, dass sich der bisherige Meinungsstreit zur Auslegung fortsetzen und die Rechtsunsicherheit bei der Bestimmung des sachlichen Anwendungsbereichs fortbestehen wird Anonymität Die Anonymität war stets der Gegenbegriff zum Personenbezug. Dementsprechend ist das Anonymisieren in 3 Abs. 6 BDSG definiert als das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. In der DSGVO gibt es keine Definition der Anonymität beziehungsweise Anonymisierung. Lediglich in Erwägungsgrund 26 Satz 5 und 6 DSGVO findet sich ein Hinweis auf anonyme Daten: Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, das heißt für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke. Zahlreiche Studien haben nachgewiesen, dass es heutzutage so gut wie immer möglich ist, anonymisierte Daten mit intelligenter Software zu analysieren und auf diese Weise eine Re-Identifizierung der Betroffenen zu erreichen. 4 Ob es überhaupt noch möglich ist, Daten so zu anonymisieren, dass sich eine Re-Identifizierung ausschließen lässt, ist fraglich. Ein zuverlässiger Weg, der aus dem Datenschutzrecht hinausführt, wird die Anonymisierung jedenfalls in Zukunft nicht mehr sein. 3. Pseudonymität Nach 3 Abs. 6 a BDSG gilt als Pseudonymisieren das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Ähnlich heißt es zur Pseudonymisierung in Art. 4 Abs. 5 DSGVO: die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Pseudonyme sind ein traditionelles Mittel des Persönlichkeitsschutzes. Im Interesse des Persönlichkeitsschutzes sollte es daher Anreize geben, auf Klarnamen zu verzichten und Pseudonyme zu verwenden. 5 Einen solchen Anreiz setzt 15 Abs. 3 TMG. Danach darf der Anbieter eines Telemediums für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Ausgestaltung von Telemedien Nutzungsprofile erstellen, sofern Pseudonyme verwendet werden und solange der Nutzer der Profilbildung nicht widerspricht. Die Verwendung von Pseudonymen wird somit dadurch belohnt, dass es keiner Einwilligung (Opt-In) bedarf und ein Widerspruchsrecht (Opt-Out) ausreicht. In der DSGVO finden sich keine derartigen Anreize 6. Ganz im Gegenteil wird sowohl in Erwägungsgrund 26 Satz 2 als auch in Erwägungsgrund 28 Satz 2 DSGVO festgeschrieben, dass pseudonyme Daten ausnahmslos Personenbezug haben mit der Folge, dass pseudonyme Daten denselben, strengen Regeln unterworfen sind wie Daten mit Klarnamen. Allerdings wird die Pseudonymisierung an einigen Stellen der DSGVO erwähnt als Umstand, der bei der Beurteilung der Rechtmäßigkeit der Datenverarbeitung relevant sein kann 7 : Bei einer Zweckänderung ist die Pseudonymisierung ein Faktor, der für die Zulässigkeit der Datenverarbeitung spricht (Art. 6 Abs. 4 lit. e DSGVO). Die Pseudonymisierung gehört zu den Methoden, mit denen der Datenverarbeiter seine Verpflichtung zu Privacy by Design erfüllen kann (Art. 25 Abs. 1 DSGVO). Die Pseudonymisierung gehört nach Art. 32 Abs. 1 lit. a DSGVO zu den technischen Maßnahmen der Datensicherheit. Die Pseudonymisierung wird auch in Art. 89 Abs. 1 Satz 3 DSGVO als eine technische Maßnahme des Datenschutzes bei der Datenverarbeitung zu archivarischen, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erwähnt. In den Erwägungsgründen finden sich zudem Appelle, Pseudonyme zu verwenden, etwa in Erwägungsgrund 28 Satz 1 DSGVO: Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Ein ähnlicher Appell findet sich in 3a Satz 2 BDSG, der als reiner Programmsatz weitestgehend wirkungslos geblieben ist 8. II. Räumlicher Anwendungsbereich Nach Art. 3 Abs. 1 DSGVO ist die Verordnung anwendbar auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Für die Anwendbarkeit des Datenschutzrechts kommt es somit nicht darauf an, ob die Datenverarbeitung in Europa stattfindet. Maßgeblich ist vielmehr die Niederlassung 9. Sobald ein Unternehmen in Europa eine Niederlassung unterhält, gilt für dieses Unternehmen die DSGVO 10. Nach Art. 3 Abs. 2 DSGVO kann die Verordnung auch für Unternehmen ohne europäische Niederlassung gelten: Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in 3 Schreiber in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 4 DSGVO, Rdnr Härting/Schneider, CR 2015, 819, 821f. 5 Härting, NJW 2013, 2065, 2068f. 6 Piltz, K&R 2016, 557, Härting, DSGVO, Köln 2016, Rdnr Vgl. Schreiber in Plath, BDSG/DSGVO, 2. Aufl. 2016, 3a BDSG, Rdnr Piltz, K&R 2016, 557, 558f. 10 Vgl. bereits EuGH vom , Az. C-131/12 Google Spain; EuGH vom , Az. C-230/14 Weltimmo; EuGH vom , Az. C-191/15 Verein für Konsumenteninformation. Aufsätze Datenschutz-Grundverordnung (DSGVO) einige Grundlagen, Härting AnwBl 11 /

3 der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. Für ein Angebot von Waren und Dienstleistungen in Europa (Art. 3 Abs. 2 lit. a DSGVO) reicht es nicht aus, dass eine Website mit einem entsprechenden Angebot in Europa abrufbar ist. Nach Erwägungsgrund 23 Satz 2 und 3 DSGVO bedarf es vielmehr einer Gesamtbetrachtung, ob sich die Website gezielt (auch) an ein europäisches Publikum richtet 11. Ob das Angebot von Waren bzw. Dienstleistungen entgeltlich oder unentgeltlich ist, ist dabei unerheblich. Erwägungsgrund 24 Satz 2 DSGVO bringt zum Ausdruck, dass der Begriff der Beobachtung (Art. 3 Abs. 2 lit. b DSGVO weit zu verstehen ist. Jede Form des Profiling oder Tracking reicht aus, um die Anwendbarkeit der DSGVO zu begründen, sofern das Profiling oder Tracking auch Nutzer erfasst, die sich in einem EU-Mitgliedsstaat aufhalten 12. III. Verbotsprinzip Am Verbotsprinzip ( 4 Abs. 1 BDSG) ändert sich nichts. Nach Art. 6 Abs. 1 DSGVO bedarf jede Datenverarbeitung einer Legitimation. Die Einwilligung (Art. 6 Abs. 1 lit (a) DSGVO) und berechtigte Interessen (Art. 6 Abs. 1 lit. (f) DSGVO) sind die wichtigsten Erlaubnistatbestände. Auch der Erlaubnistatbestand des Vertrages (Art. 6 Abs. 1 (b) DSGVO) dürfte für die Praxis erhebliche Bedeutung erlangen. Inwieweit dies bei den anderen Tatbeständen der Fall ist (Art. 6 Abs. 1 lit. (c) bis (e) DSGVO), bleibt abzuwarten. Sonderregelungen zu Art. 6 DSGVO gelten für Gesundheitsdaten und andere sensible Daten (Art. 9 DSGVO) 13 sowie für die Verarbeitung von Daten bei Kindern unter 16 Jahren (Art. 8 DSGVO) 14 und das Profiling (Art. 22 DSGVO) 15. Zwei Gesichtspunkte sind hervorzuheben: Nach Art. 6 Abs. 1 DSGVO reicht es aus, wenn mindestens einer der sechs Erlaubnistatbestände vorliegt. Es ist somit ohne weiteres möglich, die Datenverarbeitung parallel auf mehrere der Tatbestände des Art. 6 Abs. 1 DSGVO zu stützen. Eine Einwilligung der Betroffenen (Art. 6 Abs. 1 lit (a) DSGVO) schließt es keineswegs aus, dass die Datenverarbeitung zusätzlich durch berechtigte Interessen (Art. 6 Abs. 1 lit. (f) DSGVO) legitimiert ist 16. Zwischen den Erlaubnistatbeständen gibt es keine Hierarchie oder Rangfolge. Insbesondere gibt es keinerlei Vorrang der Einwilligung. Die Tatbestände des Vertrages (Art. 6 Abs. 1 lit. (b) DSGVO) und der berechtigten Interessen (Art. 6 Abs. 1 lit. (f) DSGVO) sind einer Datenverarbeitung kraft Einwilligung (Art. 6 Abs. 1 lit. (a) DSGVO) in jeder Hinsicht gleichwertig Einwilligung Wie nach 4a Abs. 1 BDSG gilt für die Einwilligung das Erfordernis der Freiwilligkeit und der Informiertheit. Kopplungsverbote und eine Reihe weiterer neuer Wirksamkeitshindernisse dürften allerdings das Instrument der Einwilligung erheblich erschweren. a) Begriff der Einwilligung In Art. 4 Abs. 8 DSGVO wird der Begriff der Einwilligung definiert: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Die Einwilligung braucht nicht ausdrücklich ( in Form einer Erklärung ) abgegeben werden, eine konkludente Handlung ( sonstige eindeutige bestätigende Handlung ) reicht 18. Der Klick mit der Maus wird auch nach Inkrafttreten der DSGVO die verbreitetste Form der Einwilligung bleiben. Nicht ausreichend ist das Stillschweigen, so dass es nicht genügt, dem Betroffenen lediglich die Möglichkeit zu geben, vorformulierte Einwilligungserklärungen zu streichen oder ein Häkchen zu entfernen, das in einem Klickfeld bereits voreingestellt ist (Erwägungsgrund 32 Satz 3 DSGVO). In Erwägungsgrund 32 Satz 6 DSGVO findet sich eine Vorgabe für die elektronische Einwilligung. Danach muss die elektronische Aufforderung zur Einwilligung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen. Was das Gebot einer Vermeidung einer unnötigen Unterbrechung genau bedeuten soll, wird nicht näher erläutert. Offenkundig geht es um den Nutzungskomfort, der durch eine allzu umständliche Benutzerführung oder durch Pop- Up-Fenster beeinträchtigt werden kann. Hieraus lassen sich Bedenken ableiten gegen den inflationären Einsatz von Cookie-Fenstern, mit denen die Nutzer um ihre Einwilligung in das Setzen von Cookies gebeten werden 19. b) Kopplungsverbote Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind (Art. 7 Abs. 4 DSGVO). Aus Erwägungsgrund 43 Satz 2 DSGVO ergibt sich, dass hiermit ein Kopplungsverbot gemeint ist. Im Zusammenhang mit dem Vertragsschluss wird man sich demnach auf die Wirksamkeit von Einwilligungen nur noch verlassen können, wenn es um Daten geht, die für den Abschluss oder die Erfüllung des Vertrages notwendig sind. Werden darüber hinaus weitere Daten verlangt, droht der Einwand der fehlenden Freiwilligkeit nach Art. 7 Abs. 4 DSGVO 20. Anklänge an ein Kopplungsverbot finden sich auch in Erwägungsgrund 42 Satz 5 DSGVO: Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit 11 Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 3 DSGVO, Rdnr. 18ff.; Piltz, K&R 2016, 557, Piltz, K&R 2016, 557, 559; Schantz, NJW 2016, 1841, Härting, DSGVO, Köln 2016, Rdnr. 528ff. 14 Härting, DSGVO, Köln 2016, Rdnr. 409ff. 15 Härting, DSGVO, Köln 2016, Rdnr. 597ff. 16 Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 6 DSGVO, Rdnr Piltz, K&R 2016, 557, Vgl. Schreiber in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 4 DSGVO, Rdnr. 35ff. 19 Härting, DSGVO, Köln 2016, Rdnr. 361ff. 20 Vgl. Piltz, K&R 2016, 557, 562; Schantz, NJW 2016, 1841, AnwBl 11 / 2016 Datenschutz-Grundverordnung (DSGVO) einige Grundlagen, Härting

4 in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Diese Formulierung eröffnet einen weiten Auslegungsspielraum. Jeder Nachteil, der mit einer verweigerten Einwilligung verbunden ist, ermöglicht dem Betroffenen den Einwand, er habe unfreiwillig und somit unwirksam eingewilligt. Dabei ist es unerheblich, ob es sich um einen materiellen oder immateriellen Nachteil handelt. c) Unwirksamkeit bei klarem Ungleichgewicht Jedes klare Ungleichgewicht zwischen Betroffenem und Verantwortlichem gefährdet nach Erwägungsgrund 34 Satz 1 DSGVO die Wirksamkeit der Einwilligung. Da von einem Ungleichgewicht im Massenverkehr zwischen Unternehmen und Verbrauchern regelmäßig auszugehen ist, ist dies ein Einwand, der einen rechtskonformen Datenverkehr mit Verbrauchern erheblich erschwert. Einseitige Vorgaben des Unternehmens sind bei Verbraucherverträgen der Normalfall, bei dem sich der Einwand eines klaren Ungleichgewichts kaum entkräften lässt 21. d) Widerruf von Einwilligungen Ob und unter welchen Voraussetzungen eine Einwilligung nach geltendem Recht widerrufen werden kann, ist streitig, da sich im BDSG keine Regelungen zur Widerruflichkeit finden 22. Nach Art. 7 Abs. 3 DSGVO ändert sich dies, da es in Zukunft ein freies gesetzliches Widerrufsrecht und die Verpflichtung gibt, den Betroffenen über die Widerruflichkeit vorab zu unterrichten. Das Widerrufsrecht kann jederzeit ausgeübt werden. Es bedarf weder eines Grundes noch einer Begründung. Der Widerruf hat sofortige Wirkung und entzieht jedweder Datenverarbeitung, die sich auf die Einwilligung stützt, die rechtliche Grundlage. Für die Datenverarbeitung, die vor dem Widerruf vorgenommen wurde, bleibt der Widerruf ohne Wirkungen. War die Datenverarbeitung in der Vergangenheit aufgrund der Einwilligung rechtmäßig, so ändert sich hieran durch den Widerruf nichts. Es gibt keine Rückwirkung des Widerrufs 23. II. Vertrag als Erlaubnis 28 Abs. 1 Satz 1 Nr. 1 BDSG erlaubt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, wenn dies für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Ebenso erklärt das Telemediengesetz (TMG) eine Datenverarbeitung für zulässig, wenn sie im Zusammenhang mit einem Vertragsverhältnis zwischen dem Diensteanbieter und dem Nutzer steht. Die Verarbeitung von Bestands- und Nutzungsdaten ist nach den 14 und 15 TMG erlaubt. An die Stelle des 28 Abs. 1 Satz 1 Nr. 1 BDSG und der 14 und 15 TMG tritt Art. 6 Abs. 1 Satz 1 lit. b DSGVO. Danach ist die Verarbeitung personenbezogener Daten erlaubt, wenn die Verarbeitung dieser Daten für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Anders als nach 28 Abs. 1 Satz 1 Nr. 1 BDSG sind Daten, die zur Begründung eines Schuldverhältnisses notwendig sind, nur dann von Art. 6 Abs. 1 Satz 1 lit. b DSGVO erfasst, wenn es eine Anfrage des Betroffenen gegeben hat. Dies ist indes zumeist der Fall: Bei zahlreichen Verträgen (Mobilfunk, Versicherungen, Kfz-Kauf, Eröffnung eines Bankkontos, Maklerauftrag) ist ein ausgefülltes Formular der erste Schritt, der zum Vertragsschluss führt (die Anfrage ) 24. Daten, die zur Beendigung eines Schuldverhältnisses erforderlich sind, bleiben in Art. 6 Abs. 1 Satz 1 lit. b DSGVO anders als in 28 Abs. 1 Satz 1 Nr. 1 BDSG unerwähnt. Allerdings dürften diese Daten zugleich zu den Daten zählen, die zur Erfüllung des Vertrages notwendig sind, sodass sich aus dem Verzicht der Erwähnung der Beendigung in Art. 6 Abs. 1 Satz 1 lit. b DSGVO keine inhaltlichen Änderungen ergeben 25. III. Berechtigte Interessen Der Tatbestand der berechtigten Interessen ist nicht neu. Nach 28 Abs. 1 Satz 1 Nr. 2 BDSG ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. 28 Abs. 1 Satz 1 Nr. 2 BDSG gilt nur für die Datenverarbeitung zu eigenen Geschäftszwecken und wird durch andere Abwägungstatbestände ergänzt 26 : Die Übermittlung oder Nutzung für einen anderen Zweck (als den eigenen Geschäftszweck) ist in 28 Abs. 2 BDSG geregelt. Auch dort geht es um eine Abwägung, die maßgeblich auf ein berechtigtes Interesse des Datenverarbeiters setzt. Allerdings gelten andere Abwägungskriterien als nach 28 Abs. 1 BDSG. 29 Abs. 1 BDSG regelt das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient. Implizit erkennt 29 Abs. 1 BDSG an, dass es sich bei der Werbung, beim Adresshandel und bei Auskunfteien um Aktivitäten handelt, denen berechtigte Interessen zugrunde liegen. Die Datenverarbeitung zu diesen Zwecken steht unter einem Abwägungsvorbehalt, der in 29 Abs. 1 BDSG näher ausgestaltet wird. 29 Abs. 2 BDSG enthält einen gesonderten Abwägungstatbestand mit eigenen Kriterien für die Übermittlung von personenbezogenen Daten zu den in 29 Abs. 1 BDSG aufgeführten Zwecken. 30 Abs. 2 BDSG regelt die inhaltliche Umgestaltung ( Veränderung, 3 Abs. 4 Nr. 2 BDSG) anonymisierter Daten und enthält gleichfalls einen Abwägungsvorbehalt. Ein weiterer Abwägungstatbestand findet sich in 30a Abs. 1 BDSG für die geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung. 32 Abs. 1 Satz 2 BDSG stellt die Verarbeitung der personenbezogenen Daten von Beschäftigten unter Abwägungsvorbehalt, wenn die Datenverarbeitung die Aufdeckung von Straftaten bezweckt. 21 Härting, DSGVO, Köln 2016, Rdnr. 399ff. 22 Vgl. Simitis in Simitis, BDSG, 8. Aufl. 2014, 4a, Rdnr. 94f. 23 Härting, DSGVO, Köln 2016, Rdnr. 403ff. 24 Härting, DSGVO, Köln 2016, Rdnr Härting, DSGVO, Köln 2016, Rdnr Härting, DSGVO, Köln 2016, Rdnr Aufsätze Datenschutz-Grundverordnung (DSGVO) einige Grundlagen, Härting AnwBl 11 /

5 6 b Abs. 1 BDSG sieht für die Videoüberwachung öffentlich zugänglicher Räume eine Abwägung der wechselseitigen Interessen vor. Die DSGVO enthält nur einen Tatbestand für die Abwägung. Dies ist ein deutlicher Fortschritt gegenüber dem BDSG, da die unendlichen Abwägungen, die das BDSG vorsah, dessen Anwendung erheblich erschwerten. Nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Um festzustellen, ob eine Datenverarbeitung von einem berechtigten Interesse gedeckt ist, muss zunächst das Interesse festgestellt werden, das der Datenverarbeitung zugrunde liegt. Für diese Feststellung ist der Zweck maßgebend, den der Verantwortliche verfolgt. Mit jeder Form der Datenverarbeitung wird ein bestimmtes Interesse verfolgt. Dieses Interesse kann unterschiedliche Ausprägungen haben, wie folgende Beispiele zeigen 27 : Datensammlung: Das Interesse kann darin liegen, einen bestimmten Datenbestand zu errichten und diesen Datenbestand wirtschaftlich oder ideell zu nutzen. Dies ist etwa bei Datenbanken, Auskunfteien und Adressverzeichnissen der Fall. Datenauswertung: Das Interesse kann darin liegen, einen größeren Datenbestand zu errichten, um diesen Datenbestand algorithmisch oder auf andere Weise auszuwerten, wie dies bei Big Data-Anwendungen der Fall ist. Die Daten sind bei einer solchen Auswertung lediglich Mittel zum Zweck, da es dem Verarbeiter nicht um die Daten geht, sondern um Erkenntnisse, die er aus den Daten gewinnen möchte. Informationsverschaffung: Daten sind Träger von Informationen. Insbesondere bei der Übermittlung und Nutzung von Daten liegt das Interesse zumeist darin, dem Empfänger oder Nutzer Informationen zu verschaffen. Erst wenn das Interesse identifiziert ist, das der Datenverarbeitung zugrunde liegt, lässt sich die Berechtigung untersuchen. Nach Erwägungsgrund 47 Satz 1 bis 4 DSGVO kommt es dabei auf die vernünftigen Erwartungen der Betroffenen an. Die vernünftigen Erwartungen der Betroffenen werden zum zentralen Bezugspunkt der Abwägung, die nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO vorzunehmen ist. Damit nähert sich die DSGVO in erstaunlichem Maße US-amerikanischen Vorstellungen des Privatsphäreschutzes an 28. Seit der Entscheidung Katz v. United States (Urteil vom , Az. 389 U.S. 347) wendet der US Supreme Court in ständiger Rechtsprechung den reasonable expectations of privacy test an, wenn es um die Frage geht, ob ein rechtswidriger Eingriff in die Privatsphäre vorliegt. Nach Erwägungsgrund 47 Satz 2 DSGVO kommt es für die Beurteilung der vernünftigen Erwartungen maßgeblich darauf an, in welcher Beziehung der Verantwortliche zu dem Betroffenen steht. Handelt es sich um eine vertragliche 27 Härting, DSGVO, Köln 2016, Rdnr Vgl. Piltz, K&R 2016, 557, Härting, DSGVO, Köln 2016, Rdnr. 436f. 30 Härting, DSGVO, Köln 2016, Rdnr. 486ff. 31 Vgl. Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 6 DSGVO, Rdnr. 20ff. oder vertragsähnliche Beziehung, muss der Betroffene regelmäßig damit rechnen, dass es zu einer Verarbeitung personenbezogener Daten kommt. Vertragsverhältnisse, bei denen keine Kundendaten verarbeitet werden, sind ein seltener Ausnahmefall. Die vernünftigen Erwartungen der Betroffenen werden in aller Regel auch das Webtracking legitimieren. Der durchschnittliche Internetnutzer weiß, dass bei den meisten Online-Diensten über Cookies, IP-Adressen und andere Online-Kennungen (vgl. Erwägungsgrund 30 DSGVO) ein Webtracking stattfindet. Nur wenn ein solches Webtracking durch neuere Technologien fortentwickelt werden und zusätzlich an Intensität gewinnen sollte, wird man einwenden können, dass die betroffenen Internetnutzer mit einer solchen Intensität nicht rechnen können und das Webtracking nicht mehr den vernünftigen Erwartungen der Betroffenen entspricht 29. Erwägungsgrund 48 Satz 1 DSGVO erkennt für den Konzern interne Verwaltungszwecke als ein berechtigtes Interesse an 30 : Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Erwägungsgrund 48 Satz 1 DSGVO erleichtert den konzerninternen Datenaustausch, stellt ihn jedoch nicht von sämtlichen datenschutzrechtlichen Anforderungen frei. Nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO bedarf es jeweils einer Abwägung mit entgegenstehenden schutzwürdigen Interessen der Betroffenen. Ähnliches gilt für die Direktwerbung, die nach Erwägungsgrund 47 Satz 7 DSGVO von einem berechtigten Interesse getragen sein kann. Wenn Direktwerbung als mögliches berechtigtes Interesse anerkannt wird, lässt dies den Schluss zu, dass für die Anerkennung eines berechtigten Interesses keine allzu hohen Anforderungen gelten können 31. IV. Ausblick Bis zum 25. Mai 2018 haben die Unternehmen und deren (anwaltliche) Berater Zeit, ihre Datenverarbeitungsprozesse auf das neue Recht auszurichten. Die Zeit bis dahin ist einerseits lang, andererseits aber auch kurz, wenn man bedenkt, dass es nach dem 25. Mai 2018 keinerlei Übergangszeit und keinen Umstellungsbonus gibt. Die Bußgelder, die Art. 83 DSGVO vorsieht, sind drakonisch bis zu 20 Mio. Euro bzw. bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens. Wer nicht in die Schusslinie tatendurstiger Datenschutzbehörden geraten möchte, sollte sich so rasch wie möglich auf das neue europäische Datenschutzrecht einstellen. Prof. Niko Härting, Berlin Der Autor ist Rechtsanwalt und Honorarprofessor an der Hochschule für Wirtschaft und Recht Berlin und Lehrbeauftragter an der Freien Universität Berlin. Er ist Mitglied des Informationsrechtsausschusses, des Berufsrechtsausschusses und des Ausschusses Anwaltsethik und Anwaltskultur des Deutschen Anwaltvereins. Leserreaktionen an anwaltsblatt@anwaltverein.de. 814 AnwBl 11 / 2016 Datenschutz-Grundverordnung (DSGVO) einige Grundlagen, Härting